NIS2 : Comment se conformer à la nouvelle réglementation en 2024
La cybersécurité est aujourd’hui un sujet stratégique qui concerne toutes les organisations. Dans un contexte où la France cherche à réarmer son économie et régénérer sa vitalité technologique, faire évoluer sa gouvernance cyber, professionnaliser son approche, intégrer les best practices mondiales et se conformer à la législation européenne sont des prérequis incontournables. Ainsi, la réglementation NIS2 va considérablement faire bouger les lignes et permettre aux entreprises de professionnaliser leur hébergement en y intégrant un volet cyber. Au-delà de l’empilement des normes et réglementations, il y a là une opportunité technologique à saisir, celle de professionnaliser son hébergement informatique au profit d’une plus grande sécurité cyber de ses infrastructures.
NIS2 et hébergement : une opportunité de se prémunir contre le risque cyber
La directive actualisée de l’UE sur la sécurité des réseaux et de l’information (NIS2) concerne l’ensemble des entreprises et organisations publiques européennes qui jouent un rôle clé pour l’économie et la société. Commune à tous les pays européens, elle définit de nouvelles exigences à adopter en matière de cybersécurité. C’est dans ce contexte que le sujet relevant de l’hébergement s’inscrit pleinement dans cette nouvelle réglementation qui devra être appliquée à compter du dernier trimestre 2024. Il s’agit donc de ne plus perdre de temps pour prendre les bonnes mesures et éviter des sanctions financières conséquentes.
Concrètement, NIS2 vise à imposer à toute entreprise faisant partie d’un des 35 secteurs identifiés comme stratégiques tel que la santé, les transports, les infrastructures numériques, la banque et l’assurance, les administrations publiques ainsi que toute entreprise participant à la chaine d’approvisionnement de ces secteurs dits stratégiques (sous-traitants, fournisseurs, etc). Les critères de sélection incluent un effectif d’au moins 50 employés et un chiffre d’affaires supérieur à 1 million d’euros. Ainsi un très grand nombre d’acteurs économiques seront de fait concernés par les exigences de cybersécurité de la directive avec à la clé des sanctions très dissuasives : paiement d’une amende pouvant s’élever jusqu’à 10 millions d’euros ou 2 % de son chiffre d’affaires annuel mondial. La responsabilité des personnes qui occupent des postes de représentation ou de direction peut également être engagée.
S’appuyer sur des infrastructures conformes by design à la réglementation NIS2
Pourtant, NIS2 est une directive saluée par plusieurs acteurs du numérique comme un bond en avant en termes de normes de cybersécurité. Au moment où l’Europe cherche à sortir d’une forme de naïveté économique vis à vis d’autres grands blocs, les bonnes pratiques qu’imposent NIS2 apparaissent comme une opportunité de réarmement industriel du secteur numérique européen et Français.
À ce jour, différentes études estiment que seul un tiers des organisations sont conformes à la réglementation. Les autres s’appuient sur des infrastructures internalisées qui sont loin de respecter les règles de l’art en matière de cybersécurité et d’hébergement de données et d’applications critiques.
Les DSI et DG doivent désormais s’emparer de ce sujet et positionner l’évolution de leurs dispositifs d’hébergement comme une priorité dans leur plan de transformation digitale. Si l’aspect réglementaire peut apparaitre à première vue comme une contrainte, il s’agit en fait d’une réelle opportunité qui permettra aux organisations de fiabiliser leurs opérations et de s’assurer que leurs données et leurs applications sont hébergées dans des environnements de confiance.
Un rempart européen contre les cybermenaces
NIS2 donne une nouvelle impulsion au marché de l’hébergement et l’amène à se professionnaliser. Cela permettra de mettre de l’ordre dans le domaine de la cybersécurité en Europe, ce qui envoie un signal positif. Au même titre que l’adoption du RGPD a été et continue d’être un processus en cours d’adoption pour l’ensemble des acteurs économiques, NIS2 devrait suivre la même trajectoire et incitera les organisations privées et acteurs publics à s’y conformer.
NIS2 est donc un signal fort pour un réveil collectif européen afin d’harmoniser les bonnes pratiques en matière d’hébergement de données. Les professionnels de l’hébergement ont un rôle central à jouer pour accompagner la prochaine mise en application de cette nouvelle réglementation.
Par Sami SLIM, Directeur général de Telehouse France